У меня есть раздел администратора на моем сайте, где можно хранить элементы. После сохранения они отображаются в интерфейсе. Часть моего дисплея включает в себя код, подобный следующему:
echo "<p>".$rose['description']."</p>";
Нужно ли включать в него htmlspecialchars для защиты от xss на низком уровне?
<script type="text/javascript">alert("HI");</script>
в$row['description']
и посмотреть, выдает ли он предупреждения? - person Andreas Wong   schedule 13.04.2012